按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Apple 緊急修復 3 個已用於攻擊的 macOS/iOS 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-09-28
  • 點閱次數:7702
Apple 緊急修復 3 個已用於攻擊的 macOS/iOS 0-day 漏洞 twcertcc

Apple 日前緊急推出 iOS/macOS/iPadOS 和 watchOS 更新,解決 3 個已遭用於駭侵攻擊的 0-day 漏洞,用戶應立即更新相關裝置內的舊版作業系統,以免遭到駭侵者利用已知漏洞發動攻擊得逞。

在這次發現的 3 個 0-day 漏洞中,第一個 CVE-2023-41993 係存於 WebKit 瀏覽器引擎內,第二個 CVE-2023-41991 則存於資安框架 (Security framework) 中;駭侵者可利用特製的網頁來誘發這兩個漏洞發生錯誤,藉以跳過數位簽署驗證機制以執行惡意 App,或是用以執行任意程式碼。

第三個漏洞 CVE-2023-41992 存於核心框架(Kernel Framework)中;核心框架提供 API 與支援,以供核心擴充套件與存於核心的裝置驅動程式使用。本地駭侵者可利用此漏洞來提升執行權限。

Apple 在發布的資安通報中指出,該公司已接獲這三個漏洞已遭駭侵者攻擊 iOS 16.7 之前版本作業系統的情資。

受到影響的裝置如下:

  • iPhone 8 與後續機型;
  • iPad mini (第 5 代) 與後續機型;
  • 執行 macOS Montery 與後續版本的 Mac 電腦;
  • Apple Watch Series 4 與後續機型。

Apple 緊急推出的作業系統新版本為 macOS 12.7/13.6、iOS 16.7/17.0.1、iPadOS 16.7/17.0.1、watchOS 9.6.3/10.0.1;上述機型的使用者應立即更新系統,以避免遭到駭侵者利用已知漏洞發動攻擊。

回頁首